Atacatorii au identificat o modalitate ingenioasă de a-și menține un acces silențios, de tip citire, la dispozitivele vulnerabile, chiar și după ce producătorul a lansat patch-uri pentru a remedia breșele inițiale de securitate. Această persistență nedorită se realizează prin intermediul unei exploatări vicleane a funcționalității SSL-VPN, care permite crearea unui tip special de legătură, un așa-numit link simbolic, între zonele de stocare ale sistemului de operare.

Această metodă de atac se bazează pe exploatarea unor vulnerabilități de securitate deja identificate și teoretic eliminate prin actualizări, cum ar fi CVE-2022-42475, CVE-2023-27997 și CVE-2024-21762. În loc să continue să exploateze direct aceste vulnerabilități după aplicarea patch-urilor, atacatorii implantează acest link simbolic într-un director al sistemului de fișiere utilizat pentru a stoca fișierele de limbă ale interfeței SSL-VPN. Această acțiune, aparent minoră, are un impact semnificativ, deoarece creează o "portiță din spate" invizibilă pentru mecanismele de securitate obișnuite.

Consecințele acestei persistențe pot fi foarte grave. Chiar dacă accesul obținut este limitat la citirea fișierelor, atacatorii pot explora în detaliu configurațiile dispozitivului, pot descoperi alte vulnerabilități în rețea, pot colecta informații valoroase și pot pregăti atacuri viitoare cu un impact mai mare. Un aspect crucial este că această problemă vizează în mod specific acele dispozitive FortiGate unde funcția SSL-VPN a fost activată la un moment dat. Chiar dacă ulterior a fost dezactivată, "legătura" creată de atacatori ar putea rămâne activă, oferindu-le în continuare acces.

Măsuri Esențiale pentru a Consolida Securitatea Dispozitivelor FortiGate După Aplicarea Patch-urilor

Pentru a contracara eficient această amenințare sofisticată și pentru a vă asigura că dispozitivele FortiGate rămân protejate, vă recomandăm implementarea următoarelor contramăsuri vitale:

1.Prioritizați actualizarea imediată a sistemului de operare FortiOS: Fortinet a pus la dispoziție versiuni actualizate (7.6.2, 7.4.7, 7.2.11, 7.0.17 și 6.4.16) care detectează și elimină automat link-ul simbolic malițios, modificând în același timp interfața SSL-VPN pentru a preveni crearea sa ulterioară. Aceasta este acțiunea fundamentală.

2.Efectuați o inspecție amănunțită a configurațiilor: Analizați cu atenție setările dispozitivelor FortiGate pentru a identifica orice element suspect sau neautorizat, inclusiv prezența unor link-uri simbolice neobișnuite.

3.Adoptați o mentalitate de "compromis potențial": Având în vedere persistența atacatorilor, este prudent să presupuneți că toate configurațiile existente ar putea fi afectate și să luați măsuri de recuperare adecvate, cum ar fi revizuirea și, dacă este necesar, reconstruirea lor din surse sigure.

4.Reînnoiți imediat toate datele de autentificare posibil expuse: Dacă suspectați o breșă de securitate, schimbați fără întârziere toate parolele și celelalte credențiale care ar fi putut fi compromise în timpul atacului inițial.

5.Evaluați posibilitatea dezactivării temporare a SSL-VPN: În cazul în care aplicarea imediată a patch-urilor nu este fezabilă, analizați impactul și luați în considerare dezactivarea temporară a funcționalității SSL-VPN până când actualizarea poate fi implementată în condiții de siguranță.

6.Implementați un sistem robust de monitorizare a securității: Utilizați instrumente avansate de monitorizare pentru a detecta orice activitate neobișnuită pe dispozitivele FortiGate, inclusiv modificări neașteptate ale sistemului de fișiere sau tentative de acces suspecte.

7.Rămâneți conectați la resursele sigurantapenet.ro: Vizitați regulat sigurantapenet.ro pentru a fi la curent cu cele mai recente informații, analize detaliate și recomandări practice privind amenințările cibernetice și strategiile de protecție.

Sigurantapenet.ro: Sursa Ta de Încredere pentru Securitate Cibernetică

Pentru o înțelegere mai profundă a vulnerabilităților care vizează echipamentele FortiGate, a metodelor de atac utilizate și a celor mai eficiente strategii de securitate, vă invităm să explorați articolele și resursele disponibile pe sigurantapenet.ro. Echipa noastră dedicată vă oferă informații actualizate și sfaturi practice pentru a vă ajuta să vă consolidați apărarea cibernetică împotriva amenințărilor complexe.

 

Sursa